Rapportage 2018 Q4 / 2019 Q1 Informatiebeveiliging & Privacybescherming
Indeling Dreigingsbeeld Incidenten en datalekken Informatiebeveiligingsbeleid 2019: stand van zaken SIEM en SOC, Responsible Disclosure ENSIA goed afgerond (zie verantwoordingsrapportage); Nieuw: BIO Privacybeschermingsbeleid 2019: stand van zaken. Aandacht voor fotorichtlijn Verzoeken van betrokkenen, klachten Verwerkersovereenkomsten Adviezen en DPIA s (groei in belang) Bewustwording Governance en schaarste arbeidsmarkt: inspanning regio Verschuivingen in de planning 2019 2
Dreigingsbeeld Maandelijkse monitors van NCSC en IBD signaleren landelijke trends in externe dreigingen. Delft volgt deze monitors en checkt of de gesignaleerde dreigingen zich ook hier voordoen. Wat hebben we in Delft gesignaleerd in het afgelopen half jaar? 3 Veel phishing, slimmere phishing, ook via andere kanalen (SMS) maar geen incidenten daardoor Geen geslaagde ransomware-aanval Geen overlast van DDOS-aanvallen Menselijke fouten, bijvoorbeeld email Zie ook het rapport van de Cyberonderzoeksraad van Brenno de Winter, De schade van Email, waarin getest is hoe kwetsbaar email is als ingang om gevoelige gegevens te bemachtigen.
Incidenten okt 2018 mrt 2019 4
Datalekken 01-10-18 / 1-4 -19 6 5 4 3 2 1 Melding datalekken Bij AP gemelde datalekken Gemeld bij de Autoriteit Persoonsgegevens: 2 x document met bijzondere persoonsgegevens naar verkeerde ontvanger 1 zwervend ID-document 1 niet werkend anonimiseer programma 1 onbevoegde inzage door onvoldoende ingerichte autorisatie in een cliëntenadministratie 0 Okt Nov Dec Jan Febr Maart 5
Informatiebeveiligingsbeleid Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1 Stand van zaken 1-4- 2019 Versterken technische informatiebeveiliging SOC en SIEM ingericht en werkend. Responsible disclosure gerealiseerd. Beveiligingsbeleid gemeentelijke kantoorgebouwen Gebouwbeleid uitgesteld naar Q2 wegens andere prioriteiten Tactische toets voor IT-voorstellen Verder implementeren BIG (richtlijnen) Toets ontwikkeld, nu in testfase Nog geen BIG-projecten afgerond. 6 ENSIA (horizontale en verticale verantwoording) ENSIA conform planning afgerond met goedkeurende verklaring
SIEM en SOC SOC is werkend Het team van het Security Operations Centre is het technisch hart van informatie beveiliging SIEM is voor 80% ingericht en werkend Security Incident and Event management is een methode om incidentlogging te analyseren ten behoeve van informatiebeveiliging 7
Werking van een SIEM Verzamel security gerelateerde logging van alle relevante IT componenten. Structureer en classificeer de loggegevens en zorg dat deze eenvoudig inzichtelijk zijn. Maak het mogelijk om miljoenen events terug te brengen tot belangrijke incidenten.
Responsible disclosure Responsible disclosure ingevoerd half maart (collegebesluit d.d. 12-02-2019) Response tot 10 mei: 1melding (geen kwetsbaarheid) Mini-hackaton uitgesteld, slechts 2 aanmeldingen. Op zoek naar de goede formule! 9
ENSIA en BIO ENSIA 2018 is goed afgerond. Zie de verantwoordings rapportage die op 22-5 wordt besproken in de commissie R&A. ENSIA ENSIA heeft nu de BIG als normenkader. Vanaf 2020 is er een nieuw normenkader voor de hele overheid, de BIO (Baseline Informatiebeveiliging Overheid). Dat wordt vanaf 2020 ook de basis voor ENSIA. Samen met Rijswijk, partner in de GRB, wordt een plan de campagne voor de invoering van de nieuwe normen opgesteld. 10
BIO: nieuwe normen? De BIO is net als BIG gebaseerd op de ISO 27001/27002 standaard. Veranderingen: Standaard Basisbeveiligingniveaus (BBN), met daaraan gekoppeld maatregelen. Voor de gemeente BBN2, soms BBN3 Meer vanuit risicomanagement gedacht, risico-analyse per proces zoals dat lokaal wordt uitgevoerd (QIS?) Daardoor minder voorgeschreven maatregelen (bijna 60% minder), en meer maatregelen op lokale maat Maar: maatregelen die er zijn, zijn wel verplicht (dus geen pas toe of leg uit ) De bestuurder en het management staan meer centraal in de sturing en toepassing van informatiebeveiliging 11 (de 10 bestuurlijke principes voor informatiebeveiliging van de VNG)
Privacybeleid Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1 Stand van zaken 1-4-2019 Richtlijn gebruik foto- en camerabeelden Onderzoek verhouding wet Politiegegevens en AVG Gereed In concept gereed, vergt een intensief communicatietraject met betrokken ambtenaren en bestuurders (de doelgroepen) Onderzoek BRP onder de AVG Convenant Veiligheidskamer herzien Verdiepingsslag verwerkingsregister Evaluatie procedure inzageverzoeken Uitgesteld naar Q2, in samenhang met de herziening van de Verordening BRP Gereed Stopgezet, tot de komst van een nieuwe FG In concept gereed, vervolgstappen richting uitvoering moeten nog genomen worden 12
Verzoeken van betrokkenen om inzage gegevens 1-oktober 2018 / 1 april 2019 10 9 8 7 6 5 4 3 2 1 0 13 Inzageverzoeken 1-10-18 tot 1-4-19 14 verzoekers, 30 verzoeken Geen vervolggesprekken of vervolgverzoeken na de beschikking op het verzoek Geen bezwaren tegen de beschikkingen Geen verzoeken tot aanpassing van verwerkingen 2 inwoners van Delft hebben in deze periode contact gezocht met de functionaris gegevensbescherming van de gemeente over mogelijke schending van de bescherming van hun persoonsgegevens (1 klacht, 1 vraag)
Verwerkersovereenkomsten Verwerkersovereenkomsten 1-4-2019 Verdeling over beleidsonderdelen Aan de verwerkersovereenkomsten met Werkse! en Delft Support wordt nog gewerkt. 14
DPIA s data protection impact assessment DPIA: een instrument om vooraf de privacyrisico s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico s te verkleinen. Verplicht: In de AVG, Wpg en Wjsg is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. In ieder geval als een organisatie: systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht) De Autoriteit Persoonsgegevens heeft daarnaast een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is. 15
Adviezen en DPIA s: groei Toepassen DPIA in Delft nog in ontwikkeling: Toets aan voornoemde criteria -> overzicht van potentiële DPIA s Inventarisatie gewenste DPIA s Prioriteren en uitvoeren Onder handen Data Protection Impact Assessments: Postproces gemeente-werkse! (auditteam) Informatiestromen tussen gemeente en Delft Support (uitbesteed aan externe auditor) Vroegsignalering schuldhulpverlening EMMA Onder handen privacy adviestrajecten: Ontvlechten en invlechten Delft Support, deelproject Privacy Privacybescherming in ontwikkeling Business Intelligence 16
Bewustwording Communicatie over informatiebeveiliging en privacybescherming wordt via diverse kanalen gepresenteerd zoals Yammer, afdelingsbijeenkomsten, lunchlezingen Er is een basistraining Veilig omgaan met informatie opgestart Voor intensiveren van deze training en voor het bewustwordingsprogramma voor de managers is (nog) geen budget beschikbaar 17
Governance, organisatie en middelen Agenda voor informatiebeveiliging en privacybescherming 2019 Planning 2019 Q1 Stand van zaken 1-4- 2019 Statuut voor CISO en FG vaststellen Statuut nog in wording Aanstellen nieuwe Functionaris Gegevensbescherming (FG) Met OR afspraken maken over personeelvolgsystemen Werving loopt Eerste gesprek met OR is geweest. Afronden instemmingsprocedure verschuift naar Q3 18
Risico: schaarste arbeidsmarkt Uit: Cybersecurity talent, the big gap in Cyber Protection, Capgemini research institute 2018 19 Het niet kunnen beschikken over de benodigde goede professionals is een risico voor het realiseren van de doelen voor informatiebeveiliging en privacybescherming. In Regio Haaglanden is gestart met gezamenlijke acties om meer cyber security professionals aan te trekken en te ontwikkelen.
Verschuivingen in de planning Van Q4 /nieuw naar Q2 / Q3 Plan van aanpak BIO (nieuw) Verkenning Identity en Access Management ivm aandachtspunt authorisatie en toegang in ML PWC Opruimactie mappen en mailbox (bewustwording) Van Q1/Q2 naar Q3/Q4 Herinrichten mappenstructuur Personeelvolgsystemen in OR 20